Dina tanggal 25 DĂ©sĂ©mber, sababaraha pangguna kripto ngalaporkeun penarikan anu gancang jeung teu acan diotorisasi tina ekstensi panyungsi Trust Wallet, nyababkeun bewara komunitas sacara langsung. Laporan awal mucunghul ti panaliti on-chain ZachXBT, anu ngait ratusan alamat anu geus diretas di sakuliah rantĂ© EVM-kompatibel, Bitcoin, jeung Solana dina jandela dua jam. Gede na nambahan tina karugian anu dilaporkeunâanu mimitina diukur leuwih ti $6 jutaânyababkeun peringatan darurat dina Telegram jeung X, ngadorong sadaya pangguna pikeun ngabatalkeun persetujuan jeung narik dana.
Para panaliti komunitas gancang ngaidentifikasi yén vérsi ekstensi Chrome Trust Wallet 2.68 téh jadi faktor umum. Investigasi file JavaScript tina ekstensi éta ngungkab tambahan anu teu jelas dina '4482.js' anu teu aya dina catetan rilis resmi. Segmen kode nu curiga anu disamarkeun salaku fungsi analytics sabenerna sanggup nyokot frasa benih, ngirimkeun ka metrics-trustwallet[.]com, teras ngaleungitkeun dompét sacara otomatis nalika impor frasa. Payload jahat éta aktip ngan ukur pikeun kajadian impor dompét, ngindarkeun deteksi dini.
Analisis saterusna nu nuturkeun ranté nyatet leuwih ti $6 juta aset curian nu disalurkan ngaliwatan privacy mixers jeung layanan obfuscation, negeskeun niat panyerang pikeun ngumbah duit kalayan gancang. Alamat korban ngawengku akun multisig ti pihak internal, dompét individu nu nilai na luhur, jeung pedagang ritel leutik sakaligus, ngingetkeun kerentanan dompét berbasis panyungsi kana serangan ranté pasokan. Transaksi pelepasan tina mixer utama saperti Tornado Cash jeung Wasabi Wallet ogé kacatet, ngagagambarkeun strategi pencucian duit nu terkoordinasi.
Saatos tinjauan publik, Trust Wallet ngaluarkeun arahan resmi anu ngaku aya kajadian kaamanan anu ngan ukur mangaruhan vérsi ekstensi 2.68. Arahan éta nyarankeun langsung mareuman ekstensi, ngapgrede ka vérsi 2.69 tina Chrome Web Store resmi, sarta nyingkahan impor frasa benih kana lingkungan panyungsi. Pamaké mobile jeung anu sanés Chrome dilaporkeun teu kapangaruhan. Trust Wallet negeskeun yén pelanggaran ieu teu ngarusak aplikasi mobile inti na atawa kontrak pinter on-chain.
Kajadian éta ngageret deui debat ngeunaan résiko self-custody jeung kaamanan operasional. Ahli ngingetkeun deui yén lingkungan manajemén konci penting sarua jeung protokol kriptografis, sarta integritas supply-chain kudu dipaké ku dua pihak, nyaéta panyadia wallet jeung pasar browser. Salaku tindakan waspada langsung, panaliti kaamanan nyarankeun pangguna nu kapangaruhan pikeun mindahkeun aset nu masih aya ka dompet anyar nu dijieun dina alat anu aman (air-gapped), ngabatalkeun sadaya persetujuan dApp, sarta ngawas aktivitas jaringan pikeun interaksi anu mencurigakeun.
Saatos serangan, pamundut pikeun verifikasi ekstensi nu distandardisasi, log parobahan nu jelas, jeung audit mandiri beuki ngadengekeun. Perusahaan kaamanan blockchain jeung grup auditor open-source keur gawé bareng dina alat pikeun ngadeteksi kode klien-sisi anu anomalil dina ekstensi dompet anu populér. Pikeun ayeuna, kajadian Trust Wallet janten conto anu jelas ngeunaan kumaha kerentanan supply-chain bisa ngancem jangji kontrol aset sorangan, ngadorong komunitas pikeun ngutamakeun kaamanan end-to-end dina desain jeung distribusi dompet.
Komentar (0)